配置PIX Failover.docVIP

配置PIX Failover 简介：本文描述了Pix Failover特性的配置。　　　　Failover的系统需求　　　　要配置pix failover需要两台PIX满足如下要求：　　　　型号一致(PIX 515E不能和PIX 515进行failover)?　　软件版本相同?　　激活码类型一致(都是DES或3DES)?　　闪存大小一致?　　内存大小一致?　　　　Failover中的两个设备中，至少需要一个是UR的版本，另一个可以是FO或者UR版本。R版本不能用于Failover，两台都是FO版版也不能用于同一个Failover环境。　　　　　　注意 Pix501、Pix506/506E均不支持Failover特性。　　　　理解Failover　　　　Failover可以在主设备发生故障时保护网络，在配置了Stateful Failover的情况下，在从主Pix迁移到备PIX时可以不中断TCP连接。Failover发生时，两个设备都将改变状态，当前活动的PIX将自己的IP和MAC地址都改为已失效的PIX的相应的IP和MAC地址，并开始工作。而新的备用PIX则将自己的IP和MAC设置为原备份地址。对于其它网络设备来说，由于IP和MAC都没改变，在网络中的任何地方都不需要改变arp表，也不需要等待ARP超时。　　　　　　一旦正确配置了主Pix，并将电缆连接正确，主Pix将自动把配置发送到备份的PIX上面。Failover可以在所有的以太网接口上工作良好，但Stateful Failover所使用的接口只能是百兆或千兆口。　　　　　　在未配置Failover或处于Failover活动状态时，pix515/515E/525/535前面板上的ACT指示灯亮，处于备用状态时，该灯灭。　　　　　　将两台PIX连在一起做Fairover有两种方式：使用一条专用的高速Failover电缆做基于电缆的Failover，或者使用连接到单独的交换机/VLAN间的单独的接口的基于网络的的Failover。如果做stateful Failover或做基于网络的Failover时，推荐使用100兆全双工或千兆连接。　　　　　　警告 做Stateful Failover时所使用的Failover连接的速度不能低于正常工作的接口的速度。?　　　　Failover特性使PIX每隔15秒（可以使用Failover poll命令设置）就对自己的接口进行一次ARP查询。只有禁用Failover这种查询才会停止。　　　　　　注意 使用static命令不当会造成Failover不能正常工作。?　　　　　　没有定义特殊端口的static命令，转换一个接口上接收到的流量的地址，然而，备份的PIX必须能和主PIX的每一个启用了的接口通讯，以检查该接口是否处于活动状态。?　　　　　　例如，下面的例子会打断正常的通讯，而不能使用：　　　　　　　static (inside,outside) interface ?　　　　　　这个命令转换从outside接口来来的流量到inside接口，并转发到，包括从备用PIX发过来的Failover信息。因为备用PIX无法收到响应信息，它就认为主PIX的该接口不活动，这样，备份PIX就将切换到活动状态。　　　　　　要创建一个不会对Failover造成影响的static语句，在Static命令中加入端口信息。例如上例可以改写为如下形式：?　　　　　　static (inside, outside) tcp interface 80 80?　　　　这样，就只会转换Http流量（80端口），而对Failover信息没有影响。如果还需要转换其它流量，可以为每个端口写一条Static语句?　　　　　　在主PIX上配置Failover需要使用到如下命令：　　　　failover 启用Failover?　　failover ip address 为备用PIX分配接口地址?　　failover link 启用Stateful Failover?　　failover lan 配置基于网络的Failover?　　配置基于Failover电缆的Failover　　　　注意 如果备用PIX处于开电状态，在进行下面的操作前先将它关掉。　　　　　　第一步　在活动的PIX上用clock set命令同步时钟　　　　　　　　第二步　将主、从PIX上配置了IP地址的所有接口的网线都接好。　　　　　　第三步　将Failover电缆上标有Primary的那头接到主PIX的Failover口上，标有Secondary的那头接到从PIX上面　　　　　　第四步　只配置主PIX.